La brecha de LastPass de 2022 explicada: qué robaron, qué significa y cómo migrar
En agosto / noviembre de 2022, los atacantes exfiltraron copias de seguridad de LastPass en la nube, incluidas bóvedas de usuario cifradas más metadatos sin cifrar. Aquí está lo documentado y qué hacer ahora si todavía tienes una cuenta de LastPass.
Cronología documentada
Según los avisos de incidente publicados por LastPass: en agosto de 2022, los atacantes comprometieron la máquina de un desarrollador de LastPass y accedieron al código fuente. En noviembre de 2022, los atacantes usaron credenciales del incidente de agosto para acceder a copias de seguridad en la nube alojadas en el almacenamiento en la nube de un tercero de LastPass. Esas copias contenían bóvedas de clientes cifradas más metadatos sin cifrar: las URL de las bóvedas, las direcciones de correo electrónico de las cuentas y la información de facturación. LastPass reveló el robo de datos el 22 de diciembre de 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Qué protege realmente el cifrado
Las bóvedas de LastPass están cifradas con AES-256, con la clave derivada de la contraseña maestra mediante PBKDF2. La fortaleza de la protección depende de (a) la entropía de la contraseña maestra y (b) el número de iteraciones de PBKDF2. El número de iteraciones por defecto de PBKDF2 de LastPass era de 5000 en las cuentas antiguas antes de aumentarlo a 100 100 en 2018. Las cuentas creadas antes de 2018 pueden seguir teniendo recuentos de iteraciones bajos a menos que el usuario lo actualizara manualmente; los avisos de incidente de LastPass lo documentan. Una contraseña maestra débil con un recuento de iteraciones bajo es descifrable por fuerza bruta sin conexión; una contraseña maestra fuerte con 100 100 iteraciones o más no lo es con el hardware actual.
Qué hacer si tienes o tuviste una cuenta de LastPass
Paso 1: exporta tu bóveda de LastPass desde la consola web (Ajustes → Opciones avanzadas → Exportar). Paso 2: impórtala a Bitwarden o 1Password (ambos tienen importadores directos de LastPass documentados en bitwarden.com/help/import-from-lastpass y 1password.com/help). Paso 3: cambia las contraseñas de cualquier cuenta con alto coste de divulgación: financieras, correo electrónico, redes sociales principales. Paso 4: activa la 2FA en cualquier cuenta que lo admita. Paso 5: elimina la cuenta de LastPass desde la consola web. Si tu contraseña maestra era fuerte (más de 12 caracteres aleatorios o una frase de contraseña de más de 6 palabras), la bóveda cifrada es computacionalmente segura; la rotación es una precaución. Si tu contraseña maestra era débil, trata las cuentas de alto valor como comprometidas.
Por qué la brecha afectó a la categoría de los gestores de contraseñas, no solo a LastPass
La brecha de LastPass llevó a los investigadores de seguridad a examinar con más cuidado las decisiones arquitectónicas de toda la categoría. Dos aprendizajes concretos: (1) Los recuentos de iteraciones de cifrado no son todos iguales: la diferencia entre 5000 y 100 100 iteraciones de PBKDF2 es grande. Argon2id (la KDF moderna que usan Bitwarden y otros) es de nuevo materialmente más fuerte. (2) La exposición de metadatos (URL de las cuentas, direcciones de correo electrónico) es un daño real a la privacidad incluso cuando el contenido de las bóvedas permanece cifrado, porque los metadatos ayudan a un atacante a priorizar objetivos. Los gestores auditados modernos limitan los metadatos en la capa de datos en reposo.
Fuentes
Avisos oficiales de incidente de LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Importador de LastPass de Bitwarden: bitwarden.com/help/import-from-lastpass. Ayuda de 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Todas las URL consultadas el 2026-04-30.